[port139:00275] あやしい OS ははたして怪しいのか？

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

こんにちは、Port139 いはらです。

意味不明な Subject の上に、さらに唐突に質問です「いまお使いのシステムは
安全である」って皆さん証明できます？

独り言で紹介した"Windows NT/2000 Server インターネットセキュリティ”本に
も整合性の部分で、Tripwire などの限界について触れられています。
一般的に不審なファイルの発見やバックドアの検知に、Tripwire やら find を
利用した方法が紹介されます。

しかしながら、OS が信頼できない状況で、OS からの返答を信用してよいか？ 
という点が問題になる気がします。
上記書籍ではオフラインでの整合性チェックまで踏み込んでいます。
このアイデアは以前からあるのですが、私自身はまだ試していません。

HDD を 2台用意し、運用中のシステムを停止後、別の HDD から起動し運用中
だった HDD の内容を Tripwire などでチェックするという方法になると思い
ますが、ユーザー ID やアクセス権は別システムという関係からチェック対象
からは外すことになると思います。

そうなると、確実に検証可能な

  -ファイルの有無
  -ファイルのハッシュ値

についてチェックすることになるのではないかと思いますが、主目的である
「OS が改竄されていないかを検証する」という点ではこれでも十分かなとい
う気がしています。（レジストリはどうすんねん？という点はありますが）

OS ファイルに限定した場合、綺麗な（汚染が絶対ない）システムのハッシュ
値を Tripwire のベースラインデータベースに保存しておき、それと比較させ
ることでシステムファイル自体の整合性を確認するって手もあるかなぁと一人
で妄想しています。

ただ、HDD を用意するのは大変そうなので、FD から起動してなんとか処理で
きると嬉しいのかなぁという点もありますが、皆さんはどうされてますか？

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/